您好,登錄后才能下訂單哦!
Linux系統(tǒng)中如何使用iptables工具管理防火墻,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。
隨著企業(yè)中使用Linux系統(tǒng)的增加,保證Linux系統(tǒng)安全成為運(yùn)維人員的必備技能之一。
Linux系統(tǒng)本身有很強(qiáng)大的防護(hù)措施:防火墻。那么如何管理防火墻就成為重中之重。
隨著CentOS 7、CentOS 8的出現(xiàn),越來越多的人喜歡使用firewalld工具來管理防火墻。因為它不僅可以通過命令行設(shè)置,也可以通過圖形化設(shè)置。關(guān)于使用firewalld工具管理Linux防火墻,可參考保證Linux系統(tǒng)安全之使用firewalld工具管理防火墻
下面我們主要介紹iptables工具管理防火墻。
提到iptables,那么就不得不說一下四表五鏈、執(zhí)行的動作。
四表分別是:
raw:高級功能,如:網(wǎng)址過濾;
mangle:數(shù)據(jù)包修改(QOS),用于實(shí)現(xiàn)服務(wù)質(zhì)量;
net:地址轉(zhuǎn)換,用于網(wǎng)關(guān)路由器;
filter:包過濾,用于防火墻規(guī)則;
五鏈分別是:
INPUT鏈:處理輸入數(shù)據(jù)包;
OUTPUT鏈:處理輸出數(shù)據(jù)包;
PORWARD鏈:處理轉(zhuǎn)發(fā)數(shù)據(jù)包;
PREROUTING鏈:用于目標(biāo)地址轉(zhuǎn)換(DNAT);
POSTOUTING鏈:用于源地址轉(zhuǎn)換(SNAT);
執(zhí)行的動作分別是:
accept:接收數(shù)據(jù)包;
DROP:丟棄數(shù)據(jù)包;
REDIRECT:重定向、映射、透明代理;
SNAT:源地址轉(zhuǎn)換;
DNAT:目標(biāo)地址轉(zhuǎn)換;
MASQUERADE:IP偽裝(NAT),用于ADSL;
LOG:日志記錄;
iptables命令常用的選項有:
-t<表>:指定要操縱的表;
-A:向規(guī)則鏈中添加條目;
-D:從規(guī)則鏈中刪除條目;
-i:向規(guī)則鏈中插入條目;
-R:替換規(guī)則鏈中的條目;
-L:顯示規(guī)則鏈中已有的條目;
-F:清楚規(guī)則鏈中已有的條目;
-Z:清空規(guī)則鏈中的數(shù)據(jù)包計算器和字節(jié)計數(shù)器;
-N:創(chuàng)建新的用戶自定義規(guī)則鏈;
-P:定義規(guī)則鏈中的默認(rèn)目標(biāo);
-h:顯示幫助信息;
-p:指定要匹配的數(shù)據(jù)包協(xié)議類型;
-s:指定要匹配的數(shù)據(jù)包源ip地址;
-j<目標(biāo)>:指定要跳轉(zhuǎn)的目標(biāo);
-i<網(wǎng)絡(luò)接口>:指定數(shù)據(jù)包進(jìn)入本機(jī)的網(wǎng)絡(luò)接口;
-o<網(wǎng)絡(luò)接口>:指定數(shù)據(jù)包要離開本機(jī)所使用的網(wǎng)絡(luò)接口;
iptables命令選項輸入順序:
iptables -t 表名 <-A/I/D/R> 規(guī)則鏈名 [規(guī)則號] <-i/o 網(wǎng)卡名> -p 協(xié)議名 <-s 源IP/源子網(wǎng)> --sport 源端口 <-d 目標(biāo)IP/目標(biāo)子網(wǎng)> --dport 目標(biāo)端口 -j 動作
iptables命令示例:
[root@localhost ~]#iptables -F // 清空所有的防火墻規(guī)則 [root@localhost ~]#iptables -F INPUT //清空指定鏈 INPUT 上面的所有規(guī)則 [root@localhost ~]#iptables -X // 刪除用戶自定義的空鏈 [root@localhost ~]#iptables -Z //清空計數(shù) [root@localhost ~]#iptables -P INPUT DROP //配置默認(rèn)的不讓進(jìn) [root@localhost ~]#iptables -P FORWARD DROP //默認(rèn)的不允許轉(zhuǎn)發(fā) [root@localhost ~]#iptables -P OUTPUT ACCEPT //默認(rèn)的可以出去 將INPUT規(guī)則鏈設(shè)置為只允許指定網(wǎng)段的主機(jī)訪問本機(jī)的22端口,拒絕來自其他所有主機(jī)的流量: [root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT [root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT [root@localhost ~]# iptables-save //保存配置 如果我只允許192.168.1.100和192.168.1.110 的PING命令,應(yīng)該怎么添加 [root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j ACCEPT [root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j ACCEPT [root@localhost ~]# iptables -A INPUT -p icmp -j DROP 如果我只允許192.168.1.0/24網(wǎng)段的,但拒絕192.168.1.100和192.168.1.110 的PING命令,應(yīng)該怎么添加 [root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT [root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j DROP [root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j DROP 向INPUT規(guī)則鏈中添加拒絕所有人訪問本機(jī)12345端口的策略規(guī)則 [root@localhost ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT [root@localhost ~]# iptables -I INPUT -p UDP --dport 12345 -j REJECT 向INPUT規(guī)則鏈中添加拒絕所有主機(jī)訪問本機(jī)1000~1024端口的策略規(guī)則 [root@localhost ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT [root@localhost ~]# iptables -A INPUT -p UDp --dport 1000:1024 -j REJECT
注意:iptables工具檢查策略時按照:從上到下,找到即停,如果沒有找到則執(zhí)行默認(rèn)的策略!所以在添加規(guī)則時,應(yīng)注意策略的添加順序!
看完上述內(nèi)容是否對您有幫助呢?如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章,請關(guān)注億速云行業(yè)資訊頻道,感謝您對億速云的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。